Verantwortlicher
Verantwortlicher im Sinne der DSGVO für die Monophi-App und die zugehörige Website monophi.ai ist:
Nicolay Wirges
Monophi
E-Mail: privacy@monophi.ai
Website: https://monophi.ai
Erhobene Daten & Zwecke
Monophi ist ein autonomes Selbstentwicklungs-Betriebssystem. Die App erhebt ausschließlich Daten, die für den Betrieb, die Personalisierung und die Sicherheit des Dienstes erforderlich sind.
2.1 Kontodaten
Bei der Registrierung erheben wir deine E-Mail-Adresse. Sie dient zur Identifikation deines Kontos, zum Versand sicherheitsrelevanter Nachrichten (z. B. Passwort-Reset) und — soweit explizit aktiviert — zur Kommunikation über App-Neuigkeiten. Keine Weitergabe an Dritte zu Werbezwecken.
2.2 Fortschrittsdaten (XP & Resonance)
Monophi misst deinen Fortschritt in sechs Sektoren: VIT (Vitalität), INT (Intellekt), CHA (Charakter), WIL (Willenskraft), WEA (Wohlstand), CORE (Kernidentität). Diese Daten, einschließlich XP-Transaktionen, Resonance-Score und Quest-Abschlüssen, werden serverseitig gespeichert, um deinen Fortschritt geräteübergreifend verfügbar zu machen und die Integrität der XP-Berechnung sicherzustellen.
2.3 Journal-Einträge
Freiwillig erfasste Journaleinträge werden Ende-zu-Ende-verschlüsselt in der Datenbank abgelegt. Monophi kann den Klartext deiner Einträge nicht einsehen. Nur du hast Zugriff auf die entschlüsselten Inhalte.
2.4 Chat-Verlauf mit Phi (KI-Coach)
Deine Konversationen mit Phi werden gespeichert, um Kontext über Sitzungen hinweg bereitzustellen (Memory-System via RAG). Wenn du einen externen KI-Anbieter konfigurierst, werden deine Nachrichten zum Zweck der Antwortgenerierung an den jeweiligen Dienst übertragen (siehe Abschnitt 5). Die Nutzung externer KI-Anbieter ist optional.
2.5 Ziele & Quests
Von dir erstellte Ziele, Quests und zugehörige Metadaten (z. B. Fälligkeitsdaten, Prioritäten, Abschlussstatus) werden gespeichert, um dir eine kontinuierliche Entwicklungsplanung zu ermöglichen.
2.6 App-Einstellungen & Konfiguration
Präferenzen wie Erscheinungsbild, Benachrichtigungseinstellungen und ausgewählte KI-Anbieter werden gespeichert, um ein konsistentes App-Erlebnis sicherzustellen.
2.7 Technische Diagnosedaten (Absturzberichte)
Im Fehlerfall werden anonymisierte Absturzberichte über Sentry erfasst. Diese Berichte enthalten Gerätetyp, Betriebssystem-Version, App-Version und den Stack-Trace des Fehlers. Sie enthalten keine personenbezogenen Daten wie E-Mail-Adresse, Journalinhalte oder Chatverlauf.
| Datenkategorie | Zweck | Speicherort |
|---|---|---|
| E-Mail-Adresse | Kontoidentifikation, Sicherheitskommunikation | Supabase (EU) |
| XP / Resonance / Quest-Daten | Fortschrittsverfolgung, geräteübergreifende Synchronisierung | Supabase (EU) |
| Journal-Einträge | Persönliche Reflexion, Phi-Kontext (optional) | Supabase (EU) – verschlüsselt |
| Chat-Verlauf mit Phi | Gesprächskontext, Memory-System | Supabase (EU) |
| Ziele & Quests | Entwicklungsplanung | Supabase (EU) |
| App-Einstellungen | Konsistentes App-Erlebnis | Supabase (EU) / lokal |
| Absturzberichte (anonym) | Fehlerbehebung, App-Stabilität | Sentry (EU) |
| Biometrische Daten | Lokale Authentifizierung (FaceID / TouchID) | Nur lokal auf Gerät – wird niemals übertragen |
Rechtsgrundlagen
Die Verarbeitung deiner personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen gemäß DSGVO Art. 6:
| Verarbeitung | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Kontodaten, App-Betrieb, Fortschrittsdaten | Art. 6 Abs. 1 lit. b DSGVO | Erforderlich zur Erfüllung des Nutzungsvertrags (Bereitstellung der App) |
| Journal-Einträge, Chatverlauf, Ziele | Art. 6 Abs. 1 lit. b DSGVO | Kernfunktionen der App, ohne die der Dienst nicht erbracht werden kann |
| Anonymisierte Absturzberichte | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse: Sicherstellung der App-Stabilität und Fehlerbehebung |
| Externe KI-Anbieter (optional) | Art. 6 Abs. 1 lit. b + Einwilligung | Nur wenn du einen Anbieter aktiv konfigurierst; jederzeit widerrufbar |
Biometrische Authentifizierung
FaceID und TouchID werden ausschließlich lokal auf deinem Gerät verarbeitet. Biometrische Daten verlassen dein Gerät zu keinem Zeitpunkt. Monophi speichert, überträgt oder verarbeitet keine biometrischen Rohdaten — die Authentifizierung erfolgt vollständig über das Betriebssystem (iOS Secure Enclave / Android Keystore).
Monophi erhält vom Betriebssystem lediglich ein binäres Ergebnis (Authentifizierung erfolgreich / nicht erfolgreich). Kein biometrischer Template, kein Bild, keine Messungen werden an Server übertragen oder lokal durch die App gespeichert.
Drittanbieter-Dienste
Monophi nutzt die folgenden Drittanbieter. Alle Anbieter sind vertraglich zur DSGVO-konformen Verarbeitung verpflichtet (Auftragsverarbeitungsverträge, AVV).
5.1 Supabase (Pflicht)
Zweck: Datenbankinfrastruktur und Authentifizierung (Auth).
Übertragene Daten: E-Mail-Adresse, alle App-Daten gemäß Abschnitt 2.
Serverstandort: Europäische Union — Frankfurt (AWS eu-central-1).
Datenschutzinformationen: supabase.com/privacy
5.2 Anthropic Claude API (Optional)
Zweck: Generierung von Phi-KI-Antworten (Kern-KI-Provider).
Übertragene Daten: Gesprächsnachrichten (Prompt + Kontext), wenn dieser
Anbieter von dir konfiguriert wurde. Es werden keine dauerhaften Nutzerprofile bei
Anthropic angelegt.
Serverstandort: USA (Anthropic Infrastructure). Standardvertragsklauseln
(SCCs) gemäß DSGVO Art. 46 sind anwendbar.
Datenschutzinformationen: anthropic.com/privacy
5.3 Groq API (Optional)
Zweck: Schnelle KI-Antworten (alternativer Provider, kostenloser Tier).
Übertragene Daten: Gesprächsnachrichten, wenn dieser Anbieter
konfiguriert ist.
Serverstandort: USA. SCCs anwendbar.
Datenschutzinformationen: groq.com/privacy-policy
5.4 OpenAI API (Optional)
Zweck: Embedding-Generierung für das Phi-Memory-System (semantische
Suche über deine vergangenen Gespräche).
Übertragene Daten: Textpassagen (keine direkt identifizierbaren Daten),
wenn dieser Anbieter konfiguriert ist.
Serverstandort: USA. SCCs anwendbar.
Datenschutzinformationen: openai.com/privacy
5.5 Google Gemini API (Optional)
Zweck: Alternative KI-Antwortgenerierung.
Übertragene Daten: Gesprächsnachrichten, wenn dieser Anbieter
konfiguriert ist.
Serverstandort: USA / EU (je nach Konfiguration). SCCs anwendbar.
Datenschutzinformationen: policies.google.com/privacy
5.6 Sentry (Pflicht — anonymisiert)
Zweck: Anonymisierte Absturzberichte und Fehlerüberwachung.
Übertragene Daten: Gerätetyp, OS-Version, App-Version, Stack-Trace.
Keine E-Mail-Adressen, keine Inhalte (Journal, Chat).
Serverstandort: EU (Sentry EU-Region).
Datenschutzinformationen: sentry.io/privacy
Die Nutzung von Anthropic, Groq, OpenAI und Google Gemini ist optional und erfordert deine aktive Konfiguration in den App-Einstellungen. Du kannst jeden externen Anbieter jederzeit deaktivieren. Ohne Konfiguration eines externen Anbieters werden keine Daten an KI-Drittanbieter übertragen.
Datenspeicherung & Sicherheit
Serverseite
Alle Daten werden auf Supabase-Servern in der EU (Frankfurt) gespeichert. Row Level Security (RLS) stellt sicher, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann. XP-Transaktionen sind unveränderlich (immutable) — nachträgliche Manipulationen werden durch serverseitige Policies verhindert.
Lokale Sicherheit
Sensitive Daten auf dem Gerät (z. B. Auth-Tokens, API-Keys) werden ausschließlich im sicheren Speicher des Betriebssystems abgelegt (iOS Keychain / Android Keystore), niemals im ungeschützten lokalen Speicher (SharedPreferences).
Verschlüsselung
Die Kommunikation zwischen App und Server erfolgt ausschließlich über HTTPS/TLS. Journal-Einträge werden vor der Übertragung client-seitig verschlüsselt (AES-256). Monophi-Server können den Klartext deiner Journaleinträge nicht lesen.
Speicherdauer
Deine Daten werden so lange gespeichert, wie dein Konto aktiv ist oder du die Löschung anforderst. Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen dauerhaft gelöscht.
Anonymisierte Absturzdaten (ohne Personenbezug) können länger aufbewahrt werden, um langfristige Stabilitätstrends zu analysieren.
Sollten gesetzliche Aufbewahrungspflichten bestehen (z. B. steuerrechtliche Pflichten), werden die betroffenen Daten für die gesetzlich vorgeschriebene Dauer aufbewahrt, danach gelöscht.
Deine Rechte (DSGVO)
Als betroffene Person hast du gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO): Du kannst jederzeit eine Kopie aller über dich gespeicherten Daten anfordern.
- Berichtigung (Art. 16 DSGVO): Du hast das Recht auf Korrektur unrichtiger personenbezogener Daten.
- Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden"): Du kannst die Löschung deiner Daten verlangen. Innerhalb der App kannst du dein Konto und alle zugehörigen Daten direkt löschen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
- Datenportabilität (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem maschinenlesbaren Format zu erhalten.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten auf Basis berechtigter Interessen widersprechen (betrifft Absturzberichte).
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit eine Einwilligung Rechtsgrundlage ist (externe KI-Anbieter), kannst du diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
Zur Ausübung deiner Rechte wende dich an: privacy@monophi.ai. Wir beantworten Anfragen innerhalb von 30 Tagen.
Minderjährigenschutz
Monophi richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Falls uns bekannt wird, dass ein Minderjähriger ein Konto erstellt hat, werden die entsprechenden Daten unverzüglich gelöscht.
Änderungen dieser Erklärung
Diese Datenschutzerklärung kann aktualisiert werden, um Änderungen unserer Praktiken oder rechtliche Anforderungen widerzuspiegeln. Bei wesentlichen Änderungen informieren wir dich per In-App-Benachrichtigung oder E-Mail. Das Datum der letzten Aktualisierung ist am Anfang dieser Seite angegeben.
Die weitere Nutzung der App nach einer Aktualisierung gilt als Zustimmung zur neuen Version, sofern eine Zustimmung rechtlich erforderlich ist; andernfalls hast du das Recht, dein Konto zu löschen.
Kontakt & Beschwerden
Für alle datenschutzbezogenen Anfragen, Auskunftsersuchen oder Beschwerden:
Nicolay Wirges – Monophi
E-Mail: privacy@monophi.ai
Website: https://monophi.ai
Du hast das Recht, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen. Die zuständige Behörde richtet sich nach deinem gewöhnlichen Aufenthaltsort innerhalb der EU. Für Deutschland ist dies:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
www.bfdi.bund.de
Data Controller
The data controller within the meaning of the GDPR for the Monophi app and the associated website monophi.ai is:
Nicolay Wirges
Monophi
Email: privacy@monophi.ai
Website: https://monophi.ai
Data Collected & Purposes
Monophi is an autonomous self-development operating system. The app collects only data that is necessary for operating, personalizing, and securing the service.
2.1 Account Data
During registration we collect your email address. It is used to identify your account, send security-related communications (e.g. password reset), and — where explicitly enabled — to communicate app updates. Your email is never sold or shared with third parties for advertising purposes.
2.2 Progress Data (XP & Resonance)
Monophi tracks your progress across six sectors: VIT (Vitality), INT (Intellect), CHA (Character), WIL (Willpower), WEA (Wealth), CORE (Core Identity). This data, including XP transactions, Resonance score, and quest completions, is stored server-side to make your progress available across devices and to ensure the integrity of XP calculations.
2.3 Journal Entries
Journal entries you voluntarily create are stored end-to-end encrypted in the database. Monophi cannot read the plaintext of your entries. Only you have access to the decrypted content.
2.4 Chat History with Phi (AI Coach)
Your conversations with Phi are stored to provide context across sessions (memory system via RAG). If you configure an external AI provider, your messages will be transmitted to that provider for the purpose of generating responses (see Section 5). Use of external AI providers is optional.
2.5 Goals & Quests
Goals, quests, and associated metadata (e.g. due dates, priorities, completion status) that you create are stored to enable continuous development planning.
2.6 App Settings & Configuration
Preferences such as appearance, notification settings, and selected AI providers are stored to ensure a consistent app experience.
2.7 Technical Diagnostic Data (Crash Reports)
In the event of an error, anonymized crash reports are captured via Sentry. These reports contain device type, operating system version, app version, and the error stack trace. They do not contain personal data such as email address, journal content, or chat history.
| Data Category | Purpose | Storage Location |
|---|---|---|
| Email address | Account identification, security communication | Supabase (EU) |
| XP / Resonance / Quest data | Progress tracking, cross-device sync | Supabase (EU) |
| Journal entries | Personal reflection, Phi context (optional) | Supabase (EU) – encrypted |
| Chat history with Phi | Conversation context, memory system | Supabase (EU) |
| Goals & Quests | Development planning | Supabase (EU) |
| App settings | Consistent app experience | Supabase (EU) / local |
| Crash reports (anonymous) | Bug fixing, app stability | Sentry (EU) |
| Biometric data | Local authentication (FaceID / TouchID) | On-device only – never transmitted |
Legal Bases
The processing of your personal data is based on the following legal bases under GDPR Art. 6:
| Processing Activity | Legal Basis | Explanation |
|---|---|---|
| Account data, app operation, progress data | Art. 6(1)(b) GDPR | Necessary for the performance of the contract (provision of the app) |
| Journal entries, chat history, goals | Art. 6(1)(b) GDPR | Core features of the app without which the service cannot be provided |
| Anonymized crash reports | Art. 6(1)(f) GDPR | Legitimate interest: ensuring app stability and bug resolution |
| External AI providers (optional) | Art. 6(1)(b) + consent | Only when you actively configure a provider; revocable at any time |
Biometric Authentication
FaceID and TouchID are processed exclusively locally on your device. Biometric data never leaves your device. Monophi does not store, transmit, or process any raw biometric data — authentication is handled entirely by the operating system (iOS Secure Enclave / Android Keystore).
Monophi receives only a binary result from the operating system (authentication successful / not successful). No biometric template, image, or measurement is transmitted to any server or stored locally by the app.
Third-Party Services
Monophi uses the following third-party providers. All providers are contractually obligated to process data in compliance with GDPR (Data Processing Agreements, DPAs).
5.1 Supabase (Required)
Purpose: Database infrastructure and authentication (Auth).
Data transferred: Email address, all app data as described in Section 2.
Server location: European Union — Frankfurt (AWS eu-central-1).
Privacy information: supabase.com/privacy
5.2 Anthropic Claude API (Optional)
Purpose: Generation of Phi AI responses (core AI provider).
Data transferred: Conversation messages (prompt + context), when this
provider has been configured by you. No permanent user profiles are created at Anthropic.
Server location: USA (Anthropic Infrastructure). Standard Contractual
Clauses (SCCs) pursuant to GDPR Art. 46 apply.
Privacy information: anthropic.com/privacy
5.3 Groq API (Optional)
Purpose: Fast AI responses (alternative provider, free tier).
Data transferred: Conversation messages, when this provider is
configured.
Server location: USA. SCCs apply.
Privacy information: groq.com/privacy-policy
5.4 OpenAI API (Optional)
Purpose: Embedding generation for the Phi memory system (semantic search
over your past conversations).
Data transferred: Text passages (no directly identifiable data), when
this provider is configured.
Server location: USA. SCCs apply.
Privacy information: openai.com/privacy
5.5 Google Gemini API (Optional)
Purpose: Alternative AI response generation.
Data transferred: Conversation messages, when this provider is
configured.
Server location: USA / EU (depending on configuration). SCCs apply.
Privacy information: policies.google.com/privacy
5.6 Sentry (Required — anonymized)
Purpose: Anonymized crash reports and error monitoring.
Data transferred: Device type, OS version, app version, stack trace.
No email addresses, no content (journal, chat).
Server location: EU (Sentry EU region).
Privacy information: sentry.io/privacy
The use of Anthropic, Groq, OpenAI, and Google Gemini is optional and requires your active configuration in the app settings. You can disable any external provider at any time. Without configuring an external provider, no data is transmitted to third-party AI services.
Data Storage & Security
Server-Side
All data is stored on Supabase servers in the EU (Frankfurt). Row Level Security (RLS) ensures that each user can only access their own data. XP transactions are immutable — retroactive manipulation is prevented by server-side policies.
Local Security
Sensitive data on the device (e.g. auth tokens, API keys) is stored exclusively in the operating system's secure storage (iOS Keychain / Android Keystore), never in unprotected local storage (SharedPreferences).
Encryption
All communication between the app and server occurs exclusively over HTTPS/TLS. Journal entries are encrypted client-side before transmission (AES-256). Monophi servers cannot read the plaintext of your journal entries.
Retention Periods
Your data is stored for as long as your account is active or until you request deletion. After account deletion, all personal data is permanently deleted within 30 days.
Anonymized crash data (without personal reference) may be retained longer to analyze long-term stability trends.
Where statutory retention obligations exist (e.g. tax law requirements), the affected data will be retained for the legally prescribed period and then deleted.
Your Rights (GDPR)
As a data subject, you have the following rights under GDPR:
- Right of access (Art. 15 GDPR): You can request a copy of all data stored about you at any time.
- Right to rectification (Art. 16 GDPR): You have the right to correct inaccurate personal data.
- Right to erasure (Art. 17 GDPR, "right to be forgotten"): You can request the deletion of your data. Within the app, you can delete your account and all associated data directly.
- Right to restriction of processing (Art. 18 GDPR): You can request the restriction of processing of your data.
- Right to data portability (Art. 20 GDPR): You have the right to receive your data in a machine-readable format.
- Right to object (Art. 21 GDPR): You can object to the processing of your data based on legitimate interests (affects crash reports).
- Right to withdraw consent (Art. 7(3) GDPR): Where consent is the legal basis (external AI providers), you can withdraw it at any time without affecting the lawfulness of prior processing.
To exercise your rights, contact: privacy@monophi.ai. We will respond to requests within 30 days.
Children's Privacy
Monophi is intended exclusively for users aged 18 and over. We do not knowingly collect data from individuals under 18. If we become aware that a minor has created an account, the associated data will be deleted immediately.
Changes to This Policy
This Privacy Policy may be updated to reflect changes in our practices or legal requirements. For material changes, we will notify you via in-app notification or email. The date of the most recent update is shown at the top of this page.
Continued use of the app after an update constitutes acceptance of the new version where legally required; otherwise you retain the right to delete your account.
Contact & Complaints
For all privacy-related inquiries, access requests, or complaints:
Nicolay Wirges – Monophi
Email: privacy@monophi.ai
Website: https://monophi.ai
You have the right to lodge a complaint with the competent data protection supervisory authority. The competent authority depends on your habitual place of residence within the EU. For Germany, this is:
Federal Commissioner for Data Protection and Freedom of Information (BfDI)
www.bfdi.bund.de